Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Anders dan de privacyrichtlijn van 1995 is deze verordening rechtstreeks en direct toepasbaar in alle lidstaten van de Europese Unie zonder omgezet hoeven te worden in nationale regelgeving. De ruimte voor een nationale interpretatie komt hiermee dan ook te vervallen. Vanaf 25 mei 2018 moeten alle organisaties, die persoonsgegevens verwerken, voldoen aan deze verordening. Veel van deze vereisten golden ook al onder de werking van de Wbp. Toch is de verordening op een aantal punten aangescherpt en is de boetebevoegdheid toegenomen.
Voor organisaties die persoonsgegevens verwerken (verwerkingsverantwoordelijke), neemt de verantwoordelijkheid toe. De verplichting, zoals die binnen de Wbp bestond om de verwerking van persoonsgegevens te melden vervalt met de komst van de AVG. Hiervoor in de plaats komen een reeks van nieuwe verplichtingen voor de verwerkingsverantwoordelijke. Daarnaast worden de rechten van personen waarvan de persoonsgegevens worden verwerkt (betrokkene) versterkt. Deze nieuwe verplichtingen en rechten leggen een grote druk bij de verwerkingsverantwoordelijke en maken het noodzakelijk om actie te ondernemen.

Wat zijn persoonsgegevens?
Een persoonsgegeven is elk gegeven over een geïdentificeerd of identificeerbaar natuurlijke persoon. Bijvoorbeeld naam, adres, telefoonnummer etc.

Wat wordt verstaan onder verwerking?
Dit is een bewerking of een reeks aan bewerkingen met betrekking tot persoonsgegevens, al dan niet geautomatiseerd, zoals het verzamelen, vastleggen, bijwerken, wijzigen, verspreiden en gebruiken.

Wat zijn de eisen voor de verwerkingsverantwoordelijke onder de AVG?
In het algemeen zal de rol van de verwerkingsverantwoordelijke onder de AVG actiever worden. Er moet actief worden gezocht naar manieren om de verwerking van persoonsgegevens zo weinig mogelijk belastend te laten zijn voor de betrokkene. Volgens artikel 25 AVG treft de verwerkingsverantwoordelijke zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. Wat betekent dit in de praktijk?

In de praktijk

Privacy by design en privacy by default
Een belangrijke voorwaarde om de voldoen aan de AVG is dat er tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteed wordt aan privacy-verhogende maatregelen.(privacy by design) Wordt er bijvoorbeeld onderscheid gemaakt tussen de bevoegdheden van de verschillende gebruikers? Kan er gemonitord worden wie, wanneer, welke gegevens heeft geraadpleegd? Ook betekent het dat er zo weinig mogelijk gegevens moeten worden verwerkt. De verzamelde gegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit is het vereiste van dataminimalisatie. Dit betekent voor organisaties dat ze goed na moeten denken over de noodzaak van de hoeveelheid en het soort gegevens dat zij verzamelen. Een manier om de privacy van betrokkenen te vergroten is het pseudonimiseren. Bij pseudonimisering worden persoonsgegevens onherkenbaar gemaakt met de mogelijkheid deze later weer te kunnen koppelen aan een persoon. Anders is dit bij anonimisering. Hier worden persoonsgegevens onherkenbaar gemaakt zonder de mogelijkheid deze later weer te kunnen koppelen aan een persoon.
Omdat een van de eisen van de AVG is dat er zo weinig mogelijk persoonsgegevens worden verwerkt is de verwerkingsverantwoordelijke verplicht de standaardinstellingen van een bepaalde toepassing zo te bepalen dat alleen die persoonsgegevens worden vastgelegd die noodzakelijk zijn (privacy by default) .

Toestemming van betrokkene
In veel gevallen is toestemming van de betrokkene vereist. De verwerkingsverantwoordelijke moet kunnen aantonen dat er toestemming is verleend. Toestemming moet worden gegeven door een actieve handeling van de betrokkene en deze moet goed geïnformeerd instemmen met de verwerking van zijn of haar persoonsgegevens. Stilzitten of het gebruik van al aangevinkte vakjes mag niet meer gelden als toestemming.

Bewerkersovereenkomsten
Wordt de verwerking van persoonsgegevens uitbesteed aan een derde dan is het noodzakelijk dat de verwerkingsverantwoordelijke nagaat of de verwerker aan de eisen van de AVG voldoet dat. Wellicht dat de bewerkersovereenkomst moet worden aangepast aan de eisen van AVG. De verwerking verantwoordelijke blijft ook na inschakeling van een bewerker verantwoordelijk.

Het recht om vergeten te worden
Nieuw is het recht om vergeten te worden. Dit recht is in lijn met het doel om de gegevensverwerking zo weinig mogelijk belastend te laten zijn voor betrokkene. Volgens artikel 17 van de AVG heeft de betrokkene in een zestal gevallen recht op wissing van zijn of haar gegevens. De twee belangrijkste en meest voorkomende zijn waarschijnlijk:
1 De persoonsgegevens zijn niet langer nodig voor het doel waarvoor ze verzameld zijn.
2 De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor verwerking.
Belangrijk bij het recht om vergeten te worden is het wissen van gegevens die door de verantwoordelijke openbaar zijn gemaakt. Dit betekent dat de verantwoordelijke alle nodige en redelijke maatregelen moet nemen om ieder koppeling naar een kopie of reproductie van de persoonsgegevens moet wissen.

Dataportabiliteit
Ook nieuw onder de AVG is het recht op overdraagbaarheid van gegevens. De betrokken heeft het recht de gegevens die hij of zij aan de ene verwerker heeft verstrekt over te dragen naar een andere verwerkers. Hij heeft het recht zijn persoonsgegevens op een gestructureerde, gangbare en machine leesbare vorm te verkrijgen en ook het recht deze gegevens aan een andere verwerker te verstrekken.

Register
Onder de AVG is iedere verwerker verplicht een register aan te leggen met betrekking tot het verwerken van persoonsgegevens met daarin onder andere informatie omtrent de verwerkingsdoeleinden, categorieën van gegevens , beschrijving van organisatorische en technische beveiligingsmaatregelen etc. ook zal hierin de bewaartermijn van de gegevens worden vastgelegd.

Boetebedragen
De boetebedragen die de Autoriteit Persoonsgegevens (AP)kan opleggen voor het overtreden van AVG kunnen oplopen tot EUR 20.000.000,- of 4% van de totale wereldwijde jaaromzet. Voorwaarde voor de hoogte van de boete is dat deze doeltreffend , evenredig en afschrikkend is. Dit betekent dus dat de AP niet terughoudend zal zijn met het opleggen ervan.

Conclusie
Dat er heel wat gaat veranderen is duidelijk. De rechten voor betrokkene worden uitgebreid evenals de verplichtingen van de verwerkingsverantwoordelijke. Organisaties en ondernemingen zullen alles voor 25 mei volgend jaar in orde moeten hebben. Niet alleen de dreiging van de hoge boetebedragen , maar ook de eventuele negatieve publiciteit vanwege het niet voldoen aan de verordening zal verwerkers van persoonsgegevens ertoe dwingen de zaken op orde te krijgen.

 

31 januari 2017 door Arjan Brookman